2016.08.16

'데이터가 줄줄 새는' 보안 공백 6가지

Ryan Francis | CSO
기업 데이터 보호 계획에는 미처 몰랐던 허점이 도사리고 있을 수 있다. 자주 발생하는 보안 공백 6가지를 정리했다.

수십 억 달러를 사이버 보안에 투자해 마치 요새처럼 네트워크, 애플리케이션, 스토리지 컨테이너, ID, 기기 주변에 방화벽을 구축했음에도 불구하고 데이터 침해 사고가 끊기지 않고 있다. 때로는 불만이 있는 직원이 가치가 높은 지적 재산을 USB 드라이브로 옮기며, 때로는 부주의한 직원이 중요한 이메일 첨부파일을 기업 네트워크 밖으로 전송한다. 수십 억 달러를 들여 구축한 각종 장벽들이 가장 필요한 시기에 무너져 버린다.

데이터 보안 기업 베라(Vera)의 CTO 겸 공동 설립자 프라카쉬 링가링가에 따르면 방법이 문제였다. 가트너는 지난해 IT 보안에 750억 달러를 지출한 것으로 분석했다. 그럼에도 불구하고 유출 횟수는 지속적으로 증가하고 있다. 더 높고 강력한 장벽을 세웠지만 정보는 엉뚱한 곳을 통해 새어나가고 있었던 것이다. 기업 보안 전략 측면에서 메워야 할 보안 공백 6가지에 대해 링가는 다음과 같이 설명했다.


Image Credit : Getty Images Bank

행동 공백
인간 오류로 인해 전 세계 데이터 유출의 25%가 발생하고 있다. 모네몬(Ponemon)의 데이터 유출 비용 연구에 따르면 최소한 4건의 유출 중 1건은 직원의 부주의로 인해 발생했다.

직원들은 사용이 어렵거나 짜증나기 때문에 요구되는 소프트웨어 또는 툴을 사용하지 않는다. 그들은 안전한 FTP 서버를 우회하고 안전한 파일에서 안전하지 못한 문서로 데이터를 복사하여 붙여 넣은 후 개인 이메일 계정으로 민감한 첨부파일을 전송한다. 그저 오래되고 불만족스러운 내부 시스템을 우회하기 위해서다. 이런 맹점을 통해 데이터가 기업의 벽체를 뚫고 빠져 나간다.

가시성 공백
민감한 정보가 경계를 넘어 전송된 후 가시성을 놓치는 경우가 흔하다. 기업은 결국 해당 데이터가 어디에서 언제 어떻게 사용되는지 파악하지 못하게 이로 인해 결국 정보를 잃게 된다. 클라이언트가 몇 번이나 원치 않는 수신인에게 정보를 전달했는가? 제 3자 계약자는 여러분의 정보로 무엇을 하고 있는가? 기업 시야에서 벗어났다고 해서 데이터 보호에 대한 법적 책임을 피할 수 있는 것은 아니다.

통제 공백
데이터가 경계를 빠져 나간 후에는 해당 파일에의 접근을 잠그거나 유출된 정보를 차단할 수 없으며, 외부에 누군가로부터 그 데이터를 빼앗을 수도 없다. 이 공백은 예전부터 존재하기는 했지만 박스(Box), 드롭박스(Dropbox)와 같은 클라우드 서비스의 파일 동기화 및 공유 기능 등으로 인해 공포의 원인으로 빠르게 부상하고 있다.

응답 시간 공백
데이터 침해를 초래하는 또 하나의 공백 요인은 직장에 적용되는 새로운 기술을 이해하고 이에 대응하기 위해 소요되는 시간이다. 또 급박한 비즈니스 상황에서 보안은 종종 시간을 허비시키는 요인으로 간주됨으로써 공백 현상이 나타난다. 시간 공백을 메우기 위해서는 알려지지 않은 것에 적응할 수 있는 유연성과 기업의 속도에 맞춰진 보안이 필요하다.

모바일 공백
오늘날 다양한 모바일 보안 솔루션이 있지만, 이들 대다수는 협업적 현실에 제대로 대응하지 못한다. IT 보안 부서에게는 모든 모바일 기기의 접속을 관리할 툴이 필요하지만, 보안 컨테이너를 회피하고 데이터를 관리하지 않는 기기로 전송하며 제 3자 앱에서 접근하기란 너무나 쉽다.

심지어는 고객과 협력사가 사용하는 휴대폰과 태블릿 등도 제대로 관리하지 못하는 경우가 흔하다. 실제로 이는 모바일 공백에서 가장 큰 비중을 차지한다. 기업 모빌리티 관리(EMM) 솔루션을 기업 외주까지 적용시키기란 어렵기 때문에 데이터를 직접 보호하는 것에 노력을 집중해야 한다.

콘텐츠 공백
기업 내 소중한 아이디어를 보호하기 위해서는 콘텐츠 보호 정책이 필요하다. 오늘날 기업의 콘텐츠는 그저 오피스 파일과 PDF 정도로 제한되지 않는다. 3D 파일, 영상, 의료 이미지, 디자인 파일, 자체 애플리케이션의 맞춤형 데이터 등 다양한 콘텐츠 유형이 만들어지고 있기에 특정 파일만 보호하는 정책은 그 유효성을 잃어가고 있다. 콘텐츠 공백을 메우기 위해 보안은 반드시 모든 형태의 정보를 아울러야 한다.

데이터 라이프 사이클 전체를 아울러야 한다
이렇듯 다양한 보안 공백은 구식의 접근법의 지속적으로 변화하는 IT 환경에 적용함에 따라 비롯됐다. 이제 단 하나의 기술과 기법으로 보안 공백을 모두 메우기란 불가능한 시대다. 이제 데이터 보호 정책을 수립해야 할 시점이다. 기업 경계 외부의 관리되지 않는 영역, 기기, 애플리케이션까지 감안하는, 데이터 라이프 사이클 전체에 걸쳐 데이터를 보호하는 정책이 요구되고 있다. ciokr@idg.co.kr
 



2016.08.16

'데이터가 줄줄 새는' 보안 공백 6가지

Ryan Francis | CSO
기업 데이터 보호 계획에는 미처 몰랐던 허점이 도사리고 있을 수 있다. 자주 발생하는 보안 공백 6가지를 정리했다.

수십 억 달러를 사이버 보안에 투자해 마치 요새처럼 네트워크, 애플리케이션, 스토리지 컨테이너, ID, 기기 주변에 방화벽을 구축했음에도 불구하고 데이터 침해 사고가 끊기지 않고 있다. 때로는 불만이 있는 직원이 가치가 높은 지적 재산을 USB 드라이브로 옮기며, 때로는 부주의한 직원이 중요한 이메일 첨부파일을 기업 네트워크 밖으로 전송한다. 수십 억 달러를 들여 구축한 각종 장벽들이 가장 필요한 시기에 무너져 버린다.

데이터 보안 기업 베라(Vera)의 CTO 겸 공동 설립자 프라카쉬 링가링가에 따르면 방법이 문제였다. 가트너는 지난해 IT 보안에 750억 달러를 지출한 것으로 분석했다. 그럼에도 불구하고 유출 횟수는 지속적으로 증가하고 있다. 더 높고 강력한 장벽을 세웠지만 정보는 엉뚱한 곳을 통해 새어나가고 있었던 것이다. 기업 보안 전략 측면에서 메워야 할 보안 공백 6가지에 대해 링가는 다음과 같이 설명했다.


Image Credit : Getty Images Bank

행동 공백
인간 오류로 인해 전 세계 데이터 유출의 25%가 발생하고 있다. 모네몬(Ponemon)의 데이터 유출 비용 연구에 따르면 최소한 4건의 유출 중 1건은 직원의 부주의로 인해 발생했다.

직원들은 사용이 어렵거나 짜증나기 때문에 요구되는 소프트웨어 또는 툴을 사용하지 않는다. 그들은 안전한 FTP 서버를 우회하고 안전한 파일에서 안전하지 못한 문서로 데이터를 복사하여 붙여 넣은 후 개인 이메일 계정으로 민감한 첨부파일을 전송한다. 그저 오래되고 불만족스러운 내부 시스템을 우회하기 위해서다. 이런 맹점을 통해 데이터가 기업의 벽체를 뚫고 빠져 나간다.

가시성 공백
민감한 정보가 경계를 넘어 전송된 후 가시성을 놓치는 경우가 흔하다. 기업은 결국 해당 데이터가 어디에서 언제 어떻게 사용되는지 파악하지 못하게 이로 인해 결국 정보를 잃게 된다. 클라이언트가 몇 번이나 원치 않는 수신인에게 정보를 전달했는가? 제 3자 계약자는 여러분의 정보로 무엇을 하고 있는가? 기업 시야에서 벗어났다고 해서 데이터 보호에 대한 법적 책임을 피할 수 있는 것은 아니다.

통제 공백
데이터가 경계를 빠져 나간 후에는 해당 파일에의 접근을 잠그거나 유출된 정보를 차단할 수 없으며, 외부에 누군가로부터 그 데이터를 빼앗을 수도 없다. 이 공백은 예전부터 존재하기는 했지만 박스(Box), 드롭박스(Dropbox)와 같은 클라우드 서비스의 파일 동기화 및 공유 기능 등으로 인해 공포의 원인으로 빠르게 부상하고 있다.

응답 시간 공백
데이터 침해를 초래하는 또 하나의 공백 요인은 직장에 적용되는 새로운 기술을 이해하고 이에 대응하기 위해 소요되는 시간이다. 또 급박한 비즈니스 상황에서 보안은 종종 시간을 허비시키는 요인으로 간주됨으로써 공백 현상이 나타난다. 시간 공백을 메우기 위해서는 알려지지 않은 것에 적응할 수 있는 유연성과 기업의 속도에 맞춰진 보안이 필요하다.

모바일 공백
오늘날 다양한 모바일 보안 솔루션이 있지만, 이들 대다수는 협업적 현실에 제대로 대응하지 못한다. IT 보안 부서에게는 모든 모바일 기기의 접속을 관리할 툴이 필요하지만, 보안 컨테이너를 회피하고 데이터를 관리하지 않는 기기로 전송하며 제 3자 앱에서 접근하기란 너무나 쉽다.

심지어는 고객과 협력사가 사용하는 휴대폰과 태블릿 등도 제대로 관리하지 못하는 경우가 흔하다. 실제로 이는 모바일 공백에서 가장 큰 비중을 차지한다. 기업 모빌리티 관리(EMM) 솔루션을 기업 외주까지 적용시키기란 어렵기 때문에 데이터를 직접 보호하는 것에 노력을 집중해야 한다.

콘텐츠 공백
기업 내 소중한 아이디어를 보호하기 위해서는 콘텐츠 보호 정책이 필요하다. 오늘날 기업의 콘텐츠는 그저 오피스 파일과 PDF 정도로 제한되지 않는다. 3D 파일, 영상, 의료 이미지, 디자인 파일, 자체 애플리케이션의 맞춤형 데이터 등 다양한 콘텐츠 유형이 만들어지고 있기에 특정 파일만 보호하는 정책은 그 유효성을 잃어가고 있다. 콘텐츠 공백을 메우기 위해 보안은 반드시 모든 형태의 정보를 아울러야 한다.

데이터 라이프 사이클 전체를 아울러야 한다
이렇듯 다양한 보안 공백은 구식의 접근법의 지속적으로 변화하는 IT 환경에 적용함에 따라 비롯됐다. 이제 단 하나의 기술과 기법으로 보안 공백을 모두 메우기란 불가능한 시대다. 이제 데이터 보호 정책을 수립해야 할 시점이다. 기업 경계 외부의 관리되지 않는 영역, 기기, 애플리케이션까지 감안하는, 데이터 라이프 사이클 전체에 걸쳐 데이터를 보호하는 정책이 요구되고 있다. ciokr@idg.co.kr
 

X